Sophos Firewall v21 offre una novità assoluta e innovativa nel settore: il Network Detection and Response (NDR) integrato nel firewall.
Ma che cos’è l’NDR?
Il Network Detection and Response (NDR) è una categoria di prodotti per la sicurezza delle reti progettati per rilevare comportamenti anomali del traffico e aiutare a identificare gli avversari attivi che operano sulla rete.
Gli aggressori esperti sono molto bravi a eludere il rilevamento, ma alla fine devono spostarsi o comunicare al di fuori della rete per portare a termine un attacco. L’NDR si colloca tipicamente all’interno della rete e utilizza sensori che monitorano e analizzano il traffico di rete per identificare attività sospette.
I prodotti NDR esistono da molti anni e Sophos NDR fa parte del nostro portafoglio di prodotti MDR/XDR dall’inizio del 2023. Tuttavia, a partire da SFOS v21.5, integriamo l’NDR con Sophos Firewall, una novità assoluta nel settore, senza alcun costo aggiuntivo per i clienti di Sophos Firewall con Xstream Protection.
L’integrazione dell’NDR con un firewall di nuova generazione può sembrare ovvia, ma la vera sfida è riuscire a non influire sulle sue prestazioni, considerando che l’analisi del traffico NDR richiede una notevole potenza di elaborazione. Per questo motivo, abbiamo adottato un approccio innovativo: distribuire una soluzione NDR nel Cloud di Sophos per sollevare il firewall dal compito più gravoso.
Sophos NDR Essentials
Sophos Firewall v21.5 introduce la nuova piattaforma di Network Detection and Response NDR Essentials distribuita in cloud. Utilizza i più recenti rilevamenti basati sull’intelligenza artificiale per aiutare a identificare gli avversari attivi e condivide queste informazioni tramite l’API dei feed delle minacce del firewall, come parte dell’Active Threat Response, per tenervi informati di ogni rilevamento e dei relativi rischi.
Guardate questo video dimostrativo per vedere come funziona o continuate a leggere per tutti i dettagli:
Come funziona
Sophos Firewall acquisisce i meta-dati dal traffico cifrato TLS e dalle query DNS e li invia a NDR Essentials nel cloud di Sophos.
Qui i dati vengono analizzati con l’ausilio di diversi motori di intelligenza artificiale. È in grado di rilevare payload dannosi cifrati senza eseguire la decodifica TLS, nonché domini nuovi e insoliti generati attraverso algoritmi che spesso sono un indicatore chiave di compromissione.
L’estrazione dei metadati viene eseguita da un nuovo motore leggero implementato su Xstream FastPath e, di conseguenza, un’avvertenza relativa a questa nuova funzionalità è che è disponibile solo sui firewall hardware della serie XGS. I firewall virtuali, software e cloud potrebbero disporre di questa funzionalità di integrazione NDR in futuro, ma non nella v21.5.
Il nuovo feed delle minacce NDR Essentials viene gestito insieme agli altri (Sophos X-Ops, MDR e feed di terze parti) nell’area Active Threat Response del firewall, come mostrato nella schermata qui sopra. L’impostazione è semplice: basta premere un interruttore per attivarlo, selezionare le interfacce interne da monitorare, impostare una soglia minima per il rischio di rilevamento e il gioco è fatto!
I rilevamenti di NDR Essentials hanno un punteggio che va da 1 (rischio basso) a 10 (rischio alto). Il punteggio di rischio viene stabilito in base all’ambiente in cui ci si trova. L’impostazione predefinita consigliata è “rischio elevato” (9-10).
Tutti i rilevamenti con un punteggio maggiore o uguale a 6 vengono registrati, ma solo quelli che raggiungono o superano la soglia impostata attivano le notifiche e vengono visualizzati come avvisi sul nuovo widget del cruscotto del Centro di controllo.
I rilevamenti con punteggio inferiore a 6 possono essere falsi positivi e di conseguenza non vengono registrati. Al momento non vengono bloccati i rilevamenti di NDR Essentials, ma questa potrebbe essere un’opzione futura. Tutti i rilevamenti sono completamente accessibili tramite il report Active Threat Response disponibile sia sull’interfaccia di Sophos Central Firewall Reporting che sull’interfaccia di Sophos Central.
Come si colloca NDR Essentials rispetto a Sophos NDR?
In parole povere, Sophos NDR Essentials è una versione “lite” di Sophos NDR.
Sophos NDR è stato progettato per essere posizionato in profondità all’interno della rete, in modo da poter monitorare e rilevare efficacemente attività sospette e flussi di traffico diretti sia verso nord-sud (o interno-esterno) sia verso est-ovest, che attraversano la LAN internamente.
Come sapete, un firewall è progettato per essere installato sul gateway di rete e analizzare il traffico in entrata e in uscita. Per questo motivo, NDR Essentials non offre la stessa visibilità sul gateway di rete di una soluzione NDR completa che si trova all’interno della rete.
In sintesi, NDR Essentials fornisce un eccellente livello aggiuntivo di rilevamento delle minacce per Sophos Firewall, senza alcun costo extra e senza alcun impatto sulle prestazioni. Tuttavia, non sostituisce un’implementazione completa di Sophos NDR per nessuno dei nostri clienti che usufruiscono della nostra piattaforma XDR o del servizio MDR.
Se desiderate ulteriori informazioni sul rilevamento e sulle funzionalità di caccia alle minacce, vi invitiamo a provare Sophos Extended Detection and Response (XDR) con l’implementazione completa di Sophos NDR e la nuova console di indagine NDR.
Potreste anche prendere in considerazione il nostro servizio completo di Managed Detection and Response, attivo 24 ore su 24. Tutti questi prodotti e servizi funzionano meglio insieme ai firewall Sophos.
La soluzione NDR completa di Sophos dispone di cinque diversi motori di rilevamento basati sull’intelligenza artificiale. In questa versione iniziale di NDR Essentials, abbiamo implementato i due motori che hanno maggiore rilevanza e impatto nell’ispezione del traffico del gateway: il motore di analisi dei payload criptati e il motore di generazione dei domini. Grazie a questi motori aggiuntivi, Sophos NDR offre una copertura più profonda e maggiori capacità di rilevamento rispetto a NDR Essentials.
Iniziate oggi stesso
Cominciate a sfruttare questa nuova funzionalità di Sophos Firewall v21.5 partecipando al programma di accesso anticipato. È sufficiente registrarsi al programma, cliccare sul link contenuto nell’e-mail per scaricare il pacchetto di aggiornamento del firmware e installarlo sul vostro firewall Sophos.
